336776138 criminalitate-informatica-sanctiuni-si-protectie

www.inomind.ro IT starts here!
CURS ONLINE
CRIMINALITATE INFORMATICĂ. SANCȚIUNI ȘI PROTECȚIE

CURS ONLINE OFERIT DE
CRIMINALITATE INFORMATICĂ. SANCȚIUNI ȘI PROTECȚIE
Copyright © 2011 INOMIND, agenția de webdesign
București, Iulie, 2011
Drepturile de autor sunt rezervate agenției Inomind. Acest document nu poate fi
reprodus sau transmis prin nicio metodă, nici integral, nici parțial, fără aprobarea scrisă
obținută în prealabil de la Inomind.
Pentru mai multe informații vizitați website-ul www.inomind.ro sau
www.facebook.com/inomindIT
Foto: www.people.desktopnexus.com, www.wikihow.com
Text: Cursul online însumează teoriile unor cercetători renumiți din domeniul
criminalității informatice. Cărțile de referință pot fi găsite la finalul acestui curs, la
capitolul “Referințe bibliografice”.
Această lucrare a fost dezvoltată de SAMOILĂ ALEXANDRU-CRISTIAN și coordonată de
Conf. Univ. Dr. IONESCU FLORIN

CUPRINS
CAPITOLUL I – APARIŢIA CALCULATOARELOR ŞI EVOLUŢIA CRIMINALISTICII
INFORMATICE
1. Scurt istoric al dezvoltării domeniului informatic
2. Avantajele şi riscurile informatizării
3. Globalizarea prin sistemul informatic
4. Definirea criminalităţii informatice
5. Clasificarea infracţiunilor informatice
CAPITOLUL II – COMITEREA EFECTIVĂ A INFRACŢIUNILOR INFORMATICE. METODE DE
PROTECŢIE ŞI SECURIZARE A DATELOR
1. Accesarea ilegală a sistemelor informatice sau accesarea datelor confidenţiale
1.1. În mod direct
1.2. Accesarea datelor stocate pe un server
1.3. Accesarea datelor confidenţiale prin înşelăciune
1.4. Accesarea datelor considerate şterse
2. Interceptarea transmisiilor de date
2.1. Prin reţele informatice
2.2. Prin unde
2.3. Înregistrarea perifericelor
3. Infracţiuni de fraudă informatică pe internet
3.1. Phishing
3.2. E-commerce
CAPITOLUL III – URMĂRIREA PENALĂ A INFRACTORILOR INFORMATICI
1. Probele digitale
2. Activităţi de urmărire penală care se întreprind pentru adunarea probatoriului
2.1. Constatarea infracţiunii flagrante
2.2. Cercetarea la faţa locului
2.3. Dispoziţii legale privind actele de procedură
3. Bune practici internaţionale cu privire la investigaţiile informatice
CAPITOLUL IV – PREVENIREA INFRACŢIUNILOR INFORMATICE
1. Folosirea echipamentelor de protecţie hardware şi software
2. Criptarea datelor
3. Steganografia
4. Pregătirea pentru identificarea infracţiunilor informatice

CAPITOLUL I
APARIŢIA CALCULATOARELOR ŞI EVOLUŢIA CRIMINALISTICII
INFORMATICE
1. SCURT ISTORIC AL DEZVOLTĂRII DOMENIULUI INFORMATIC
Bazele informaticii au fost puse în anul 1837 de către CHARLES BABBAGE, supranumit
„părintele informaticii”, care a proiectat “Maşina Analitică”. A fost o idee revoluţionară
care a anticipat structura calculatoarelor din zilele noastre. La acea dată posibilităţile
tehnologice nu au permis realizarea pieselor de o precizie suficient de mare pentru
implementarea acestui proiect.
În mai puțin de trei decenii, în anul 1862, filosoful francez BLAISE PASCAL a inventat
maşina de calcul cu roţi dinţate, care efectua doar calcule simple de adunare şi scădere.
Mai târziu, în anul 1871, James Clerk Maxwell, supranumit „Prostuţul” în cadrul
Academiei Edinburgh, a avut ideea stabilirii unei legături între noţiunea de informaţie şi
noţiunile de bază ale energeticii.
În anii următori, cercetători precum L. BOLTZMANN, L. SZILARD, D. GABOR sau R.
VALLÉE au ajutat la dezvoltarea domeniului prin aprofundarea noţiunilor de entropie1
şi
astfel au fost consacrate teoriile matematice ca bază ale informatizării.
În timpul celui de al II-lea Război Mondial nemţii au inventat un calculator criptografic,
denumit ENIGMA, pentru codificarea mesajelor. Englezii au fost nevoiţi să răspundă prin
inventarea unui sistem de calcul, COLOSSUS, ce avea un singur scop: decodificarea
mesajelor generate de Enigma. Colossus a reprezentat arma secretă a britanicilor,
existenţa sa fiind ţinută sub secret militar.
Deşi cunoşteau locurile unde vor fi atacaţi, britanicii lăsau trupe de sacrificiu şi evitau
capturarea unei maşini de calcul nemţeşti spre a nu deconspira secretul şi pentru a evita
schimbarea cheii de criptare2
a mesajelor. Nemţii foloseau cea mai evoluată metodă de
transmitere a mesajelor codificate din punct de vedere tehnic, fiind infailibilă pentru
acele vremuri.
1
Entropie = logaritmul probabilităţii formării unei anumite configuraţii într-o mulţime de alte configuraţii posibile (în
teoria informaţiei este gradul de incertitudine, măsurat în biţi, legat de mesajele pe care le emite o sursă).
2
Cheia de criptare – este parola prin care este activat algoritmul matematic folosit pentru transformarea unui text
inteligibil intr-un text cifrat, cât şi pentru descifrarea textului criptat.

Totuşi eroarea umană a dus la descifrarea limbajului folosit de Enigma în data de 30
august 1942, când un operator german a fost anunţat că mesajul său de 4000 de
caractere nu a fost bine recepţionat, iar acesta a retrimis mesajul pe scurt (mesajele
începeau cu “SPRUCHNUMMER” prescurtat de operator “SPRUCHNR”). Astfel, prin
comparaţii repetate, un student de la Cambridge a reuşit să descifreze mesajul în 2 luni.
Pentru automatizarea sistemului în vederea scăderii timpului de descifrare, MAX
NEWMAN a inventat în ianuarie 1940 sistemul de calcul Colossus cu o memorie de 25 de
biți, care răspundea la comenzi simple de genul <if>, <then>, <else>. Sistemul a decriptat
de la prima încercare o cheie a germanilor.
Din a doua jumatate a secolului XX invenţiile şi inovaţiile în acest domeniu s-au succedat
în mod rapid şi astfel în 1946 cercetătorii Universităţii Pensilvenya, S.U.A. au prezentat
PRIMUL CALCULATOR DIGITAL alcătuit din comutatoare şi tuburi electronice. ENIAC
(Electronic Numerical Integrator And Computer) succesor al proiectului EI (alcătuit numai
pe baza comutatoarelor şi a releelor) a fost comandat de către armata americană pentru
calculul traiectoriilor rachetelor balistice, aceştia investind 500.000 $ în computerul care
cântărea 30 de tone (17468 de diode cu vid şi 1500 de relee) şi efectua 5000 de adunări
pe secundă.
În anul 1947, omenirea se afla în zorii erei computaţionale: stabilirea unei relaţii om-
maşină pentru rezolvarea nevoilor specifice omului. Primul calculator UNIVAC (Universal
Automatic Computer) realizat pe structura calculatorului EDVAC (primul calculator cu
circuite electronice), inventat de matematicianul John von Neumann a fost vândut în anul
1951. Trei ani mai târziu Texas Instruments inventează tranzistori pe bază de siliciu la
scară comercială şi tot în acest an IBM scoate pe piaţă PRIMUL CALCULATOR DE SERIE
botezat 650, în primul an fiind vândute 120 de unități.
ROMÂNUL VICTOR TOMA, supranumit tatăl calculatoarelor din ţările socialiste din
Europa, în anul 1955 a combinat 1.500 de tuburi electronice şi a realizat computerul
CIFA-1, care avea dimensiunea a trei şifoniere. În perioada 1995-2006, senatorii români
au votat electronic pe ultima invenţie a acestuia.
Un pas important în domeniul calculatoarelor personale a fost făcut în anul 1975 când
firma MITS (Micro Instrumentation and Telemetry Systems) a scos spre comercializare
computerul Altair 8800 ce avea în componenţă un microprocesor Intel 8080 şi 256 octeţi
de memorie.
Cercetarea în sectorul ştiinţei sau al tehnicii a fost revoluţionată în anul 1996 când firma
INTEL a realizat un supercalculator ce folosea peste 7000 de procesoare PENTIUM
utilizând tehnica de ,,calcul masiv” (utilizat pentru simularea testelor nucleare, în
cercetări genetice, spaţiale şi meteorologice).

În prezent un calculator portabil ce cântăreşte 2,02 kg poate fi dotat cu o memorie de 16
gb, memorie video 2048 MB, frecvență procesor 3700 MHz, spaţiul destinat stocării
datelor 1 TB SSD. În urmă cu un deceniu, aceste caracteristici puteau fi cu greu atinse de
un sistem de calcul desfăşurat în mai multe camere.
Dacă la jumătatea secolului XX calculatorul era destinat numai calculelor aritmetice
simple, astăzi cu greu mai găsim domenii în care un sistem de calcul să nu uşureze sau
chiar să preia munca a zeci de oameni. Şi din dorinţa naturală a omului de a-şi simplifica
existenţa, aceste sisteme de calcul au fost implementate până la cele mai înalte
niveluri, astfel algoritmii de calcul fiind din ce în ce mai complecşi, devenind imposibil
de înţeles chiar şi pentru cei iniţiaţi în acest domeniu.
2. AVANTAJELE ŞI RISCURILE INFORMATIZĂRII
Ȋn capitolul precedent am ajuns la concluzia că noi oamenii am acceptat un compromis,
satisfăcând o dorinţă naturală de a duce o viaţă cât mai lejeră, dar cât am pierdut la
capitolul siguranţă personală nu ne putem imagina şi nici nu suntem interesaţi să
cuantificăm această pierdere în prealabilul unei catastrofe. Ne ghidăm intimitatea, banii
şi viaţa în general după o interfaţă grafică căreia suntem nevoiţi să îi acordăm deplină
încredere din cauza lipsei acute de informaţie.
Avantajele informatizării sunt certe şi incontestabile, un calculator achiziţionat cu câteva
sute de dolari poate să înlocuiască cu succes câteva zeci sau poate câteva sute de
angajaţi. Versatilitatea sistemelor informatice a atras interesul rapid în aplicabilitatea lor
imediată în toate aspectele vieţii.
Progresele uimitoare înregistrate într-un interval de timp foarte scurt în domeniul
informatic, împreună cu informatizarea continuă a tuturor domeniilor, au dus la o
dependenţă iremediabilă a societăţii faţă de sistemele informatice, dar şi la performanţe
ce păreau imposibile în trecutul apropiat.

Calculatorul şi-a câştigat un loc binemeritat în domeniul industriei, afacerilor, economiei
și medicinei. Acesta nu numai că a înlocuit munca oamenilor, dar a şi creat noi ramuri de
dezvoltare ale respectivelor domenii.
Principalele avantaje ale infomatizării în societatea modernă sunt reprezentate de:
● viteza de transport a informaţiei - intervale de timp care în trecut erau măsurabile în
săptămâni sau luni se măsoară în prezent cu ajutorul secundelor sau a milisecundelor
● capacitatea de stocare a informaţiilor – această temă poate fi dezvoltată pe 2 paliere
– capacitatea echipamentelor informatice de a înmagazina cantităţi enorme de informaţii
diversificate şi viabilitatea acestor informaţii în timp.
● viteza de procesare a datelor – precizia miilor de calcule matematice care pot fi
efectuate într-o unitate de timp de procesorul unui calculator nu poate fi comparată cu
activitatea cerebrală a unui om. Astăzi putem vorbi despre instantaneitatea accesului la
informaţie.
Toate acestea contribuie esenţial la dezvoltarea celor mai inabordabile domenii pentru
intelectul uman. Lansarea navetelor spaţiale, efectuarea miilor de operaţiuni economice
într-o secundă, reuşita celor mai delicate operaţii medicale, guvernarea statelor, eficienţa
poliţiei, creşterea productivităţii industriei, divertismentul contemporan şi reuşita în
multe alte ramuri ţin de evoluţia şi implementarea unor sisteme informatice.
Acest avânt luat de rolul computerului în societate nu putea fi trecut cu vederea de
escroci şi alte astfel de persoane cu interese ascunse, prin urmare în ultimii ani
calculatorul a devenit deja principalul corp delict al infracţiunilor moderne. Aşadar,
algoritmii complicaţi, specifici diferitelor şi variatelor programe informatice, destinaţi să
ne uşureze viaţa, ne arată al doilea lor tăiş. Imperfecţiunile de securitate ale unui
program informatic şi neînţelegerea lor de către toţi utilizatorii aduc un avantaj
considerabil celor interesaţi de fraudare.
Iată un exemplu: constituirea şi gestionarea conturilor bancare. Sigur că dispariţia banilor
din contul personal este o problemă extrem de gravă pentru un individ, dar acest
fenomen generalizat devine periculos pentru întreaga societate.
Informatizarea are şi alte riscuri mult mai periculoase pentru societate şi, de ce nu,
pentru întreaga umanitate. Atacurile asupra unor puncte cheie din sistemele
informatice pot genera adevărate crize de securitate atât la nivel individual, cât şi la nivel
naţional sau mondial.
Realitatea impune abordarea riscului informatic prin prisma a 3 factori:
● ameninţările - sunt evenimente sau activităţi (în general, din exteriorul sistemului)
care pot să afecteze sistemul auditat;

● vulnerabilităţile - sunt punctele slabe ale unui sistem informatic atât la nivel hardware,
cȃt și software;
● impactul - apreciat a fi o pierdere sau o consecinţă pe termen scurt, mediu sau lung
suportată de proprietarul sau utilizatorul sistemului de calcul.
Riscul la nivelul unei organizaţii nu poate fi eliminat. El va exista întotdeaua,
managementul societăţii fiind responsabil de reducerea lui la un nivel acceptabil. În acest
sens, figura 2 pune în corespondenţă cei 3 factori care necesită a fi luaţi în calcul pentru
reducerea riscului3
.
3. GLOBALIZAREA PRIN SISTEMUL INFORMATIC
În urma utilizării calculatorului la scară largă s-a constatat nevoia transferului de date
între două sau mai multe calculatoare. Prima soluţie a fost imprimarea datelor pe un
suport magnetic şi deplasarea respectivului suport la un alt sistem de calcul. Totuşi,
această soluţie prezenta foarte multe disfuncţionalităţi, precum timp de transport foarte
mare, distrugerea fizică a suportului sau existenţa simultană a mai multor versiuni
neactualizate.
3
Analiza riscului intr-un mediu informatizat - http://www.scritube.com

Primul pas în dezvoltarea intercomunicaţiilor între sistemele de calcul a fost crearea unei
reţele de patru computere între Universităţile din Utah, Santa Barbara, Los Angeles şi
Institutul de Cercetare din Stanford. La sfârșitul anilor 1960 începutul anilor 1970 reţeaua
Internet număra deja 50 de membri şi era în continuă ascensiune, în acest timp fiind
dezvoltate standarde de comunicare precum File Transfer Protocol, Telnet sau e-Mail.
Datorită avantajelor multiple şi incontestabile oferite de interconectarea directă a
sistemelor de calcul, reţeaua Internet s-a extins la nivel național şi în foarte scurt timp la
nivel internaţional. Dar globalizarea prin sistemele informatice a adus odată cu avantajele
sale şi noi probleme, imprevizibile chiar şi pentru fondatorii domeniului.
Sistemele informaţionale afectează globalizarea pe trei planuri: infrastructural,
operaţional şi organizaţional.
1. Aspectele infrastructurale se referă la informaţii, prelucrarea automată a datelor,
standardele şi tehnologiile din telecomunicaţii şi standardele Internet – toate acestea
ajutând la depăşirea graniţelor tradiţionale ale relaţiilor dintre diferite sisteme, îndeosebi
naţionale.
2. Problemele operaţionale se referă la aspectele naţionale ale culturii, educaţiei şi
instruirii, ale managementului personalului, guvernării, structurilor legale şi factorilor
organizaţionali.
3. Aspectul organizaţional joacă un rol esenţial pentru succesul sistemelor informatice
globale la nivelul organizaţiilor. În cazul corporaţiilor multinaţionale este nevoie de
realizarea complementarităţii între strategia de utilizare a sistemelor informaţionale cu
cea a afacerii, astfel încât să fie atinse obiectivele urmărite4
.
Una din problemele cele mai perfide ar fi efectul de propagare în lanţ a unei breşe de
securitate, astfel toţi participanţii la reţea vor fi sau ar putea fi afectaţi prin securizarea
insuficientă a unui singur sistem de calcul.
Având în vedere amploarea actelor teroriste şi războiul informaţional, guvernele lumii,
alături de organizaţiile internaţionale şi-au unit eforturile în vederea securizării spaţiului
cibernetic global.
Acest domeniu s-a dovedit extrem de profitabil, astfel diverşi dezvoltatori au adus pe
piaţă propriile sisteme de calcul, generându-se probleme de incompatibilitate.
Rezolvarea acestei probleme s-a dovedit a fi dificilă nu atât din cauza limitărilor
tehnologice, cât datorită componentei economice, fiecare dezvoltator dorind să atragă o
parte cât mai mare din piaţă pentru aceasta, fiind dispus să creeze şi să implementeze
propriile standarde. A fost nevoie de intervenţia legiuitorului pentru ȋnlăturarea
problemei, creându-se astfel standardele obligatorii internaţionale în domeniul
informatic.
4
Globalizarea şi riscul securităţii informaţionale – Dumitru Oprea

4. DEFINIREA CRIMINALITĂŢII INFORMATICE
Investigarea criminalistică a sistemelor informatice poate fi definită ca: „Utilizarea de
metode ştiinţifice şi certe de asigurare, strângere, validare, identificare, analiză,
interpretare, documentare şi prezentare a probelor de natură digitală obţinute din surse
de natură informatică în scopul facilitării descoperirii adevărului în cadrul procesului
penal”.
Primele încercări de definire a termenului de criminalitate informatică au avut loc în anul
1983, când Organizaţia pentru Cooperare și Dezvoltare Economică (OECD) a decis
numirea unui comitet de experţi, activitatea acestora fiind finalizată în anul 1986. În
raportul publicat aceştia definesc infracţiunea informatică: “orice comportament ilegal,
neetic sau neautorizat ce priveşte un tratament automat al datelor şi/sau o transmitere
de date”5
.
La al zecelea Congres al Organizaţiei Naţiunilor Unite privind “Prevenirea infracţiunilor şi
tratamentul infractorilor” termenul de infracţiune cibernetică este definit astfel: “acea
faptă prevăzută de legea penală, comisă cu vinovăţie, de către o persoană sau un grup de
persoane care folosesc un calculator si cu ajutorul comunicării prin cablu, comit o faptă
care prezintă pericol social ce aduce prejudicii unei persoane, unei societăţi comerciale ori
intereselor statului”6
.
Departamentul de Justiţie al Statelor Unite ale Americii defineşte şi el noţiunea de
criminalitate informatică: “orice încălcare a legislaţiei penale care implică o cunoaştere a
tehnologiei computerului pentru comiterea, investigarea sau incriminarea infracţiunilor”7
.
Infracţiunea informatică este definită în sens restrâns în documentele Organizaţiei
Naţiunilor Unite ca fiind “orice infracţiune în care făptuitorul interferează, fără autorizare,
cu procesul de prelucrare automată a datelor”.
Din păcate nu a fost adoptată o definiţie unitară la nivel internaţional, fapt ce poate
îngreuna operativitatea organelor de anchetă.
5
Moise Adrian-Cristian, Teza de doctorat, 2010 ,București, p.17
6
Tudor Amza , Cosmin Petronel Amza , op.cit., p.54
7
Joseph Audal, Quincy Lu, Peter Roman, „Computer Crimes”

5. CLASIFICAREA INFRACŢIUNILOR INFORMATICE
Conţinutul infracţiunilor informatice este deosebit de variat, fiind abordat din diferite
puncte de vedere în cadrul lucrărilor de specialitate.
Astfel, infracţiunile informatice cuprind pe lângă actele internaţionale clasice (fraudă,
prostituţie, înşelăciune, contrafacerile) şi fapte proprii domeniului cibernetic (pirateria
software, fraudarea cardurilor bancare sau falsificarea instrumentelor de plată
electronică, virusarea reţelelor, terorismului electronic, hărţuirea prin e-mail)8
.
Consiliul Europei, prin recomandarea nr R(89)9, a definit o clasificare a infracţiunilor
informatice în două secţiuni: listă minimală şi listă facultativă9
.
Lista minimală de infracţiuni cuprinde:
o Frauda informatică
o Falsul informatic
o Deteriorarea datelor sau a programelor informatice
o Sabotajul informatic
o Accesul neautorizat
o Interceptarea neautorizată
o Reproducerea neautorizată a programelor informatice protejate şi a altor opere
digitale
Lista opţională de infracţiuni cuprinde:
o Alterarea datelor sau programelor informatice
o Spionajul informatic
o Utilizarea neautorizată a unui sistem de calcul
o Utilizarea neautorizată a unui program de calcul protejat
Convenţia privind criminalitatea informatică adoptată în cadrul Consiliului Europei
cuprinde categoriile:
1. Infracţiuni împotriva confidenţialităţii, integrităţii şi disponibilităţii datelor şi sistemelor
informatice: accesarea ilegală, interceptarea ilegală, afectarea integrităţii datelor,
afectarea integrităţi sistemului, abuzurile asupra dispozitivelor;
2. Infracţiuni informatice: falsificarea informatică, frauda informatică;
3. Infracţiuni referitoare la conţinut: pornografia infantilă;
4. Infracţiuni referitoare la atingerile aduse proprietăţii intelectuale şi drepturilor conexe.
8
Emilian Stancu, Tratat de criminalistică, p.697
9
http://www.uncjin.org/Documents/EighthCongress.html#congress

CAPITOLUL II
COMITEREA EFECTIVĂ A INFRACŢIUNILOR INFORMATICE.
METODE DE PROTECŢIE ŞI SECURIZARE A DATELOR
1. ACCESAREA ILEGALĂ A SISTEMELOR INFORMATICE SAU ACCESAREA DATELOR
CONFIDENŢIALE
1.1. Ȋn mod direct
Datele informatice dintr-un sistem de calcul pot fi accesate prin intermediul sistemului
de operare (Windows, Linux, Mac OS) prezent în respectivul sistem informatic. Astfel,
infractorul are aceleaşi drepturi asupra datelor informatice ca un utilizator normal.
Dacă sistemul de operare este protejat prin parolă, infractorul are două posibilități de
accesare a datelor:
● pornirea sistemului de calcul folosind un sistem de operare ce poate fi utilizat dintr-un
mediu de stocare extern (CD,DVD,hard-disk extern etc.). De obicei, sunt utilizate variante
ale sistemului de operare Linux (Ubuntu, RedHat, Fedora etc.) – ȋn acest caz, el va avea
acces la toate informațiile aflate pe hard disk, le va putea copia, modifica sau șterge.
Rularea programelor instalate este o sarcină mai complicată, dar copierea bazelor de
date sau a altor fişiere ce pot fi compilate de un program asemănător, este floare la
ureche;
● îndepărtarea parolei, modalitățile variȃnd în funcţie de sistemul de operare instalat pe
sistemul de calcul.
● pentru Windows XP parolele sunt păstrate în fişiereul „SAM”, având rădăcina de forma
”nume partiție/WINDOWS/system32/config”. Acest fişier fiind criptat, infractorul are
nevoie de o aplicaţie specializată pentru a putea interacţiona cu datele utilizatorului
prezente. O astfel de unealtă este furnizată de distribuţia de Unix, denumită SLAX, sau de
distribuţia mult mai cunoscută KALI (fosta distribuţie BACKTRACK). „Complexitatea”
algoritmului de criptare ajută la decriptarea ȋn cȃteva secunde a acestui fişier;

● Pentru Windows 7 – funcţia Repair din Windows 7 activează contul „Administrator” din
care se poate şterge parola celorlalte conturi. În acest caz se butează direct de pe cd-ul
de Windows 7, apoi accesăm „repair your computer”. Fiind bifată optiunea „Use
recovery tools that can fix problems ..... ” se apasă „next”, se selectează „Command
prompt” şi se tastează „regedit” apoi ENTER. Se selectează „HKEY LOCAL MACHINE” și
din meniul contextual de la „file” se selectează „load hive”. Apoi, se accesează fişierul
„SAM” având rădăcina de forma ”nume partiție/WINDOWS/system32/config” şi în căsuţa
„key name” se introduce „cybercrime” (putem introduce orice). Se urmează rădăcina
HKEY LOCAL MACHINE / cybercrime / SAM / Domanis / Account / Users / 000000 1F4 şi
se accesează fişierul „F”. Pe coloana 2 se caută numărul „11” şi se înlocuieşte cu „10”
(este imediat dupa 00038). Se selectează folderul „cybercrime”, meniul contextual „file”
şi apoi „unload hive”. Se închid ferestrele şi se utilezează funcţia „restart”.
În acest moment, userul „Administrator” este activ, vă puteţi loga fără parolă în Windows
7 şi din „Control panel” se poate şterge parola oricărui user.
● și distribuţiile de UNIX sunt vulnerabile la astfel de atacuri, prin editarea fişierului ce
conţine parola sau pornirea sistemului în modul single-user:

 "Mode de recuperare - Recovery Mode" apoi "root - Drop to root shell prompt"
 ls /home
 mount -rw -o remount /
 passwd nume_utilizator
 introduceți noua parolă și confirmați
1.2. Accesarea datelor stocate pe un server
Aceste date sunt protejate printr-un set de credenţiale (username şi parolă), existând 4
modalităţi de a fi accesate de un infractor:
 Forţa brută – în mediul informatic acest procedeu a ajuns un ansamblu de proceduri
de fineţe și implică folosirea unor programe ce prin încercări repetate vor determina
parola corectă (brute force cracking) și poate avea succes în obţinerea parolelor formate
din cuvinte uzuale şi un număr mic de caractere. Dar pentru a accesa un server securizat
procesul este mult mai complicat implicând interogări la o anumită perioadă și deducerea
unor elemente ce pot creşte semnificativ eficienţa unui astfel de atac. Un program
destinat acestei activităţi este Brutus.
 Prin utilizarea unor parole cunoscute folosite de utilizator în secretizarea altor
conturi sau date informatice.
De exemplu: ai un cont Google (companie recunoscută pentru investițiile majore ȋn
securitate), dar folosești aceleași date de acces și pentru a te loga ȋn contul unui forum de
automobile (un site local, realizat cu un buget redus, de un prieten al proprietarului care
a citit un tutorial online). Dacă cineva dorește să afle corespondența ta, nu va pierde
timpul încercȃnd să afle parola contului Google, pentru că va afla același lucru de la site-
ul nesecurizat de automobile.

 Prin exploatarea unei vulnerabilităţi prezente sau injectate în server-ul ce deţine
datele informatice.
Modul de operare este complex și presupune un mod de lucru organizat și bine definit, ȋn
funcţie de configurarea și securitatea server-ului. Scopul final este realizarea unui bypass
(accesarea datelor fără introducerea parolei), aflarea unei parole uzitate ȋn mod curent
sau atribuirea drepturilor de acces pentru utilizatorul creat de infractor.
● Printr-o breșă de securitate care a amenințat cel mai sigur protocol de securitate
pentru anul 2014 a fost clonarea sesiunii de autentificare SSH, astfel infractorul fură
ȋntreaga sesiune de lucru, operând în numele victimei.
1.3. Accesarea datelor confidențiale prin înşelăciune
Prezentarea unor date informatice ce au un alt efect asupra sistemelor informatice sau
reliefarea intenţionată numai a unor efecte, de natură să influenţeze decizia utilizatorului
în folosirea datelor personale.
Această metodă este cunoscută sub titulatura de „cal troian”(sau trojan), fiind cea mai
răspândită modalitate de atac, datorită versatilităţii. Modul de operare presupune
reunirea a două sau mai multe fişiere distincte printr-un program de tip – joiner - , într-un
singur fişier. Fişierul vizibil şi principal are rolul de a câştiga încrederea utilizatorului
pentru a fi rulat, celelalte fişiere fiind ascunse în spatele acestuia, reprezentând
programele maliţioase şi configurarea acestora.
Fişierul principal, denumit şi fişier container, poate fi reprezentat de orice fişier utilizabil
ȋn mod curent: arhivă, sursă de instalare a unui program informatic, imagine, document,
audio, video etc.
În prezent, orice program maliţios poate fi ataşat unui fişier container, ţinȃndu-se însă
seama de ţinta atacului şi de măsurile de securitate prezente.
Programele maliţioase („malware” provenit din malicious software) reprezintă întreaga
paletă a programelor de tipul:
 Viruşi – programe ce au efecte devastatoare asupra sistemului de calcul de cele mai
multe ori la nivel logic, dar afectarea componentelor fizice nu este exclusă. Aceştia sunt
împărțiți în funcție de efectele avute asupra softwareului sau hardwarului.
● Viruşii software pot provoca sistemului următoarele efecte : ştergerea totală sau
parţială a informațiilor de pe hard disk, modificarea sau ştergerea numai anumitor fişiere
(ex. jpg, exe, sau .mp3), închiderea sistemului sau resetarea acestuia cu sau fără

avertisment, îngreunarea procesării datelor prin executarea unor secvențe inutile,
umplerea spaţiului liber de pe hard disk cu informaţii inutile sau fictive, blocarea
accesului la anumite funcții vitale ale sistemului.
● Virușii hardware sunt periculoși datorită ireversibilității efectelor, solicitare continuă a
hard diskului ce duce la uzura acestuia sau chiar la deteriorarea platanului,
supraîncălzirea sistemului ce poate compromite componentele acestuia, oprirea
alimentării cu energie electrică, disfuncţionalităţi ale CD/DVD-rom-ului ce pot duce la
compromiterea CD/DVD-urilor.
 Rootkits - acest tip de programe nu sunt neaparat maliţioase, deşi sunt cu precădere
folosite în aceste scop. În esenţă ele cuprind un set de instrucţiuni ce sunt acceptate de
sistem în detrimentul solicitărilor venite de la utilizator. Un rootkit maliţios poate însă
crea condiţii pentru instalarea şi buna funcţionare a altor soft-uri de tip malware. O
caracteristică importantă este inaccesibilitatea utilizatorului la aceste aplicaţii, fiind
ascunse printre fişierele de sistem sau chiar ȋn partiţia Master Boot Record (MBR).
 Viermi de internet - sunt programe care au capacitatea de a se auto-replica. Se
folosesc de reţea pentru a se răspândi, de cele mai multe ori fără a mai necesita
intervenţia utilizatorului. Există însă şi viermi de internet care „păcălesc” utilizatorul
pentru a fi răspândiţi. Spre deosebire de un virus care trebuie să se ataşeze unui
program, viermele este de sine-stătător. Tot spre deosebire de viruşi, care aproape
întotdeauna corup sau modifică fişiere de pe calculatorul infectat, viermii de internet au
ca principal efect consumarea resurselor, cum ar fi lăţimea benzii pentru navigare pe
internet. În cazuri extreme, dacă un vierme afectează un număr suficient de mare de
calculatoare şi reţele, poate încetini drastic activitatea pe internet10
.
 Spyware - sunt programe destinate colectării si accesării datelor confidenţiale. Aceste
programe rulează într-un mod invizibil (nedetectabil de utilizator în tabelele curente).
Cele mai periculoase sunt aplicațiile de tip keylogger, ce ȋnregistrează ȋn timp real fiecare
tastă apăsată, ȋnregistrând astfel conturile utilizatorilor și parolele aferente.
 Alte aplicaţii spyware sunt destinate înregistrării perifericelor de intrare și ieșire a
datelor informatice (ȋnregistrarea prin fotografiere a datelor prezente pe monitor, la un
anumit interval de timp sau la fiecare utilizare a mouseului, capturarea informaţiilor
receptate de camera web sau microfon). Informaţiile captate de spyware sunt trimise
către atacator folosind o conexiune FTP sau un client de e-mail. Ele pot fi recuperate și
prin copiere directă pe un dispozitiv mobil de stocare a datelor informatice.
10
http://www.stefamedia.ro/viermii-de-internet/

 Addware – noua ameninţare a internetului – programe specializate pentru colectarea
datelor personale și distribuirea de publicitate agresivă. Aceste programe au algoritmi
speciali creaţi în prelucrarea datele obţinute pentru realizarea unui portret psihologic al
utilizatorului. Pentru a înțelege importanţa acestor date a fost iniţiat un proiect, în 2014,
efectuat între un calculator (ce deţinea întreaga activitate a unui individ pe Facebook) şi
un prieten de 20 de ani al aceluiaşi individ. După analizarea răspunsurilor s-a concluzionat
de către un psiholog, că sistemul de calcul a fost mai exact şi cunoştea mai bine individul,
decât prietenul său mai vechi de 20 de ani. Există programe spion care modifică
comportamentul sistemului de calcul pentru a trimite utilizatorul contra voinţei sale
către site-uri predefinite, acest atac fiind cunoscut sub numele Hijacker11
.
1.4. Accesarea datelor considerate şterse
Informaţiile, numele şi rădăcina despre datele depuse în coşul de gunoi (fişierele şterse
utilizând tasta /delete/ sau din meniul contextual /click dreapta - ștergere/) sunt păstrate
într-un fişier numit info2. Astfel, prin folosirea funcţiei de restaurare, fişierele îşi pot
relua locul, funcţia şi numele. Această operaţiune are rolul de a reloca fişierul pentru o
anumită perioadă de timp și nu de a-l șterge.
În momentul „golirii” coşului de gunoi, fişierul info2 este şters şi numele fişierelor nu mai
apare în Master File Table (MFT), iar în acest moment sistemul ştie că poate suprascrie
sectoarele unde erau ţinute datele şterse.
Ştergerea definitivă reprezintă ştergerea numelor fişierelor din această tabelă principală,
şi nu ştergerea informaţiei în integralitate, pentru a se minimaliza timpii de lucru.
În principiu, sunt două metode de a căuta informaţii şterse de pe hard-disk. Întâi, sunt
căutate intrările marcate “deleted” din tabela principală a fişierelor, iar pe baza acestor
indicii, programul de recuperare a datelor caută pe disk informaţiile asociate numelor de
fişiere descoperite. Această operaţiune este una rapidă, dar în acelaşi timp şi mai puţin
eficientă decât cea de-a doua metoda.
A doua metodă constă în căutarea pe hard-disk a inodurilor12
a fişierelor şterse din
tabela principală, deoarece în aceste inoduri sunt trecute numele fişierelor, cât şi tipul
acestora (txt, doc, jpg etc). Această metodă constă în verificarea amănunţită a hard-disk-
ului şi prin urmare este o operaţiune de durată13
.
Pot fi recuperate fişiere ce conţin parole sau care ajută la autentificare, fişiere ce conţin
date despre traficul în reţea, documente, imagini sau fişiere audio-video.
Recuperarea fişierelor ce conțin informaţii confidenţiale şi valorificarea acestora
echivalează cu accesul ilegal la aceste date informatice.
11
http://www.tpu.ro/tehnologie/ce-este-virusul-spyware/
12
Denumire purtată de partea logica a fişierelui ce leaga numele acestuia de secţiunea har-disk-ului unde sunt stocate
datele informatice
13
http://www.securitatea-informatica.ro/securitatea-informatica/securitatea-sistemelor/stergerea-sigura-a-datelor/

Oameni de strictă specialitate susțin că anumite structuri pot recupera date rescrise
chiar și de cinci ori, prin analizarea atentă a urmelor de latență magnetică. Astfel, o
secțiune magnetizată (inscripționată cu cifra 1) și apoi demagnetizată, la o măsurătoare
atentă nu va indica cifra 0 ci 0,05; 0,1 etc., ȋn funcție de informația inscripționată anterior.
Astfel, informaţia poate fi recuperată.14
2. INTERCEPTAREA TRANSMISIILOR DE DATE
2.1. Prin rețele informatice
Pentru ca informaţia să poată circula într-o reţea, fie între două calculatoare sau la nivel
global, aceasta trebuie să se supună unor reguli de trafic.
IP este un protocol fiabil, acesta putând fi utilizat fără ca toate sistemele de calcul să fie
simultan conectate la reţea, dar este nesigur (datele transmise cu ajutorul acestui
protocol pot fi pierdute, duplicate sau furate).
Informaţia care circulă în reţea este împărţită în blocuri de mici dimensiuni denumite
pachete. Sistemul de distribuire este identic cu cel al serviciului poştal normal, fiecare
pachet cu date conţinȃnd ip-ul expeditorului şi cel al destinatarului (adresa ip fiind unică
atât în cadrul unei reţele, cât şi în reţeaua internet ). Pachetele traversează mai multe
echipamente de reţea până ajung la destinatar unde sunt reunite pentru a reconstitui
informaţia expediată. În cazul în care un singur pachet lipseşte informaţia este
compromisă şi nu poate fi reconstituită.
O altă modalitate de individualizare a utilizatorilor este MAC-ul (Media Access Control),
acesta este un indicator format din 12 caractere, unic pentru fiecare placă de reţea.
Primele 6 caractere sunt specifice fiecărui producător şi următoarele 6 sunt destinate
individualizării plăcii de reţea.
Prima etapă a interceptării frauduloase este conectarea la reţeaua vizată. Aceasta se
poate face prin conectarea la un dispozitiv de reţea (router, switch, hub) sau secţionarea
unui cablu de reţea şi împerecherea firelor de cupru cu cele provenite de la utilizatorul
neautorizat. La această operaţiune trebuie respectat codul culorilor şi efectuarea
contactelor perfecte. Deşi cablul UTP sau STP folosit la efectuarea rețelelor conţine 8 fire,
pentru accesul total la reţea sunt suficiente 4, pentru standardul 568B (alb-portocaliu,
portocaliu, alb-verde, albastru, alb-albastru, verde, alb-maro, maro) sunt firele 1,2,3 şi 6.
14
Petter Gutman , Conferinţa Usenix 1996
http://www.usenix.org/publications/library/proceedings/sec96/full_papers/gutmann/index.html

Modul de răspândire al acestor pachete în reţea este de tip BROADCAST, adică
informaţia este trimisă către toate sistemele din reţea, cu excepţia emitentului, şi este
procesată numai de destinatar.
Pachetele ignorate în mod normal pot fi însă recepţionate cu ajutorul unor dispozitive
specializate, denumite SNIFFERE (adulmecătoare).
Snifferele sunt împărţite în două categorii software şi hardware.
Snifferele software sunt aplicaţii ce interceptează pachetele de date care tranzitează
cablul de reţea sau sunt transmise prin unde radio, avȃnd 2 moduri de lucru:
● normal – basic – în care sunt capturate pachetele de date destinate sistemului unde
este instalat acest soft;
● promiscous – în care sunt capturate toate pachetele de date vehiculate în reţea, chiar
dacă destinatar nu este sistemul unde este instalat acest soft.
Modul promiscous este perfect uzual din cauza modului de funcţionare al reţelelor
Ethernet în care informaţiile sunt transmise în modul broadcast (adică pachetele de date
sunt trimise către toate sistemele de calcul legate în reţea, mai puţin către emiţător, dar
sunt acceptate numai de destinatar, care este verificat în baza adresei ip inserată în
fiecare pachet de date)15
.
Este extrem de important timpul de lucru în cazul modalităţii de atac “man în the
middle”, în acest caz hackerul aflȃndu-se pe traseul parcurs între pachetele de date ce
provin de la victima 1 şi sunt destinate victimei 2. Pachetele sunt captate şi modificate de
către un terţ, în mod automat sau în timp real. Snifferul poate fi identificat analizând
timpii de latenţă ai pachetelor, iar un echipament hardware dedicat va diminua timpii de
recepţionare şi retrimitere a pachetelor.
O placă de reţea gigabit (rata de transfer 10/100/1000 Mbps) cu 2 sau 4 porturi de
conectare (intrări mufe rj 45), ce poate face captură simultană pe aceste porturi sau
captură separată pentru pachetele intrare şi ieşire este un instrument necesar în
atingerea unor performanţe sporite. Dar un asemenea echipament poate ajunge la preţul
de 3000 USD16
.
Placi de reţea quad core si dual core destinate interceptarii de pachete în reţea
15
https://ionutsblog.wordpress.com/2010/11/29/wireless-free-sniffing/
16
http://www.cacetech.com/products/turbocap.html

Se pot afla informaţii despre ceilalţi participanţi din mediul on-line prin accesarea unor
comenzi din sistemul de operare Windows. Comenzile sunt disponibile pentru toţi
utilizatorii datorită laturii pozitive pe care o poate avea snifferingul, aceea de a rezolva
cât mai eficient problemele de infrastructură sau securitate apărute în reţea.
Linia de comandă se accesează prin Start->run-> tastând “cmd” apoi tastă „Enter”.
ipconfig - instrucţiune ce ne va furniza informaţii de bază despre toate interfeţele de
reţea prezente în sistem, tipul acestora, starea (active/deconectate) şi în cazul în care
sunt active ne vor fi furnizate IP-ul, masca de reţea şi gateway;
ipconfig /all – oferă informaţii suplimentare cu privire la numele complet al plăcii de
reţea, precum şi numărul de identificare a acesteia (adresa MAC), prezența serverului
DHCP precum şi a DNS-urilor;
ping – împreună cu diverşi parametri testează existenţa conexiunii cu un alt sistem,
definit prin adresa IP, timpul de răspuns şi TTL (time to live – defineşte numărul de
routere prin care trece informaţia pentru a ajunge la destinatar, scăzând din numărul
iniţial o unitate pentru fiecare router traversat);
netstat – oferă informaţii cu privire la conexiunile stabilite, portul folosit şi numele
serverului destinatar;
netstat –an – generează o listă cu datele de identificare ale sistemelor cu care este
stabilită o conexiune, oferă IP-ul acestora;
tracert – prin această comandă este trasat drumul pe care îl străbate pachetul trimis
către destinatar, sunt arătate numele serverelor, timpul de răspuns şi IP-ul acestora;
arp -a – generează o listă cu adresele MAC asociate IP-urilor, ale tuturor sistemelor active
în reţea la acel moment (este foarte importantă pentru reţelele în care autentificarea se
face în baza MAC-ului, având în vedere că acesta poade fi modificat);
net – în funcţie de parametri poate oferi informaţii despre: userii prezenţi în reţea (net
view), fişierele partajate (net share), mesagerie (net send) sau chiar accesul la un
calculator, funcţie de control la distanță (net use remote_comp /user:nume_utilizator
parolă_utilizator);
route print – defineşte traseul pachetelor în reţeaua internă.
Wireshark este o aplicaţie cu codul sursă la vedere (open source) care monitorizează
pachetele de date. Este utilizată pentru soluţionarea problemelor în reţea, pentru analiza

traficului, dezvoltarea produselor software şi a protocoalelor de comunicare, în scopuri
educaţionale. Iniţial, aplicaţia se numea Ethereal, dar în mai 2006 proiectul a fost
redenumit în Wireshark din cauza problemelor legate de marca comercială17
.
Funcţiile Wireshark:
o Realizează capturi în timp real a pachetelor din interfaţa de reţea;
o Rulează atât sub platforme Unix, cât şi Windows sau Mac OS;
o Afişează informaţii despre pachete din Ethernet, IEEE 802.11, PPP/HDLC, ATM,
Bluetooth, USB, Token Ring, Frame Relay, FDDI şi altele;
o Deschide sau salvează pachete cu date capturate;
o Importă şi exportă pachete cu date de la şi din alte programe de captură;
o Filtrează pachetele în funcţie de protocol TCP, UDP sau alte criterii (IP) şi poate
decripta Ipsec, Kerberos, SSL/TLS, WEB ,WPA/WPA2;
o Conţine reguli intuitive de coloristică;;
o Crează diverse statistici.
Un instrument evoluat de explorare a reţelei şi scaner de securitate / porturi este NMAP
(Network Mapper).
Network Mapper (Nmap) este un instrument open source pentru explorarea reţelei şi
audit de securitate. A fost proiectat să scaneze repede reţele mari, cu toate că
funcţionează bine şi la scanarea unui singur host.
Nmap foloseşte pachete IP în formă brută într-un mod inovator pentru a determina ce
calculatoare sunt disponibile în reţea, ce servicii (numele aplicaţiei şi versiunea) oferă
acestea, ce sistem de operare (şi versiune) rulează, ce tipuri de filtre de pachete/firewall
sunt utilizate şi o mulţime de alte caracteristici.
Nmap este folosit în mod curent în procesul de audit al securităţii, dar este folosit şi de
administratorii de reţea pentru rutinele de inventariere a reţelei, managementul
upgradeurilor şi monitorizarea calculatoarelor sau a perioadelor de uptime pentru
servicii.
Rezultatul generat de Nmap este o listă de ţinte scanate, cu informaţii secvenţiale despre
fiecare în funcţie de opţiunile utilizate. O parte cheie a informaţiilor furnizate este
“tabela de porturi interesante”. Această tabelă conţine numărul portului şi protocolul,
numele serviciului şi starea. Starea poate fi open (deschis), filtered (filtrat), closed
(închis), sau unfiltered (nefiltrat).
Deschis (open) înseamnă că aplicaţia de pe maşina ţintă aşteaptă informaţii pe portul
respectiv, acceptând conexiuni.
17
http://ro.wikipedia.org/wiki/Wireshark

Filtered (filtrat) înseamnă că un firewall, filtru sau alt obstacol în reţea blochează
respectivul port astfel încât Nmap nu poate spune dacă este deschis sau închis.
Porturile închise nu au nici o aplicaţie care să aştepte conexiuni, cu toate că ele se pot
deschide în orice moment.
Porturile sunt clasificate ca nefiltrate când ele răspund la probele Nmap, dar Nmap nu
poate determina dacă sunt închise sau deschise. Nmap raportează combinaţia de
stariopen|filtered (deschis|filtrat) şi closed|filtered (închis|filtrat) când nu poate
determina care din cele două stări este cea corectă. Tabela de porturi mai poate include
versiuni ale softwareului când detecţia versiunii a fost solicitată. Când un protocol de
scanare IP este solicitat (sO), Nmap furnizează informaţii despre protocoalele IP
suportate în locul listei de porturi.
În plus faţă de lista de porturi interesante, Nmap poate furniza şi alte informaţii despre
ţinte, incluzând aici nume obţinute prin reverse DNS, poate înţelege sistemul de operare,
tipul hardwareului şi adresele MAC.
Nmap a fost destinat sistemelor de operare Unix, dar în prezent este operabil şi sub
sistemul Windows, având ca interfaţa ZENMAP18
.
O modalitate de prevenţie a atacurilor de tip sniffing este crearea unei reţele bazate pe
conexiuni prin echipamente de tip switch/router, acestea faţă de vechile hub-uri, nu mai
trimit mesajul în broadcast, direcţionând pachetele, numai interogarea primară făcându-
se braodcast. Pentru această topologie de reţea atacul are o componenţă suplimentară,
deghizarea datelor de identificare (IP, MAC, nume) în date identice cu cele ale victimei,
purtȃnd numele de ARP-Spoofing sau ARP Poison.
Un astfel de soft este şi Etercap, creat de Alberto Ornaghi şi Marco Valleri, utilizabil
pentru atacuri „Man în the middle”, singura condiţie a funcţionării acestuia este ca
sistemul atacatorului să fie în aceeaşi reţea locală cu cel al victimei (să aibă aceeaşi clasă
de ip şi acelaşi subnet mask). Din momentul în care Etercap intermediază o conexiune
acesta poate să:
o
infecteze, înlocuiască sau să şteargă datele transmise în timpul unei conexiuni;
o
recupereze şi decripteze parole pentru protocoale ca FTP, HTTP, POP, SSH1, etc...;
o
ofere certificate HTTPS, SSL false eventualelor victime19
.
De exemplu, sistemul în care se află softul Etercap va răspunde în numele routerului
asociindu-şi identitatea acestuia, victima trimiţând pachete către IP-ul router-ului, dar
MAC-ul acestuia este schimbat cu cel al atacatorului, iar pachetele returnate vor veni tot
de la el.
18
http://nmap.org/man/ro/index.html#man-description
19
http://openmaniak.com/ro/ettercap.php

Etercap poate fi completat prin plugin-uri sau filtre. Un astfel de plugin este DNS
SPOOFING. În momentul în care victima doreşte să relaţioneze cu un server HTTP (un
web site) aceasta va introduce adresa urmând ca server-ul DNS să facă legatura cu IP-ul
alocat respectivei adrese.
Prin DNS spoofing ip-ul alocat unei adrese HTTP va fi definit de atacator, astfel victima
accesând fără voința ei un site paralel şi asemănător cu cel căutat. Evident acest plugin
devine extrem de periculos dacă victima doreşte să folosească site-uri bancare sau
destinate diverselor tranzacţionări online.
În Etercap acest plugin trebuie instalat separat din interfaţa grafică. Se selectează butonul
plugins, apoi Manage the plugins şi din meniul deschis selectăm pluginul dorit, în cazul
dns_spoofing – sends spoofed dns replies.
Sniffer-ul hardware
Orice port fizic de intrare sau ieşire a datelor dintr-un anumit sistem poate fi monitorizat
cu ajutorul echipamentului adecvat. Indiferent că este vorba de un port serial RS232,
USB, PS2, VGA sau altele, acestea pot fi monitorizate, iar principiul de funcţionare al
respectivului device este asemănător.
Informaţia tranzitată prin acel punct este analizată (după criterii prestabilite) şi copiată
într-o altă memorie, alimentată de la o sursă separată de curent (ex. o baterie de mici
dimensiuni) sau chiar de la sistem dacă este posibil. Informaţia captată este de cele mai
multe ori protejată, astfel fiind accesibilă numai în anumite condiţii (se poate ca device-ul
să sufere o modificare fizică pentru a putea accesa datele stocate). Sunt prezentate pe
larg două exemple în secţiunea dedicată keyloggerelor hardware.
În cazul portului de reţea RJ45 interceptarea datelor în punctul de intrare în sistem ar
duce la stocarea datelor trimise în modul broadcast în reţea (în cazul huburilor toate
datele) şi a datelor targetate către placa de reţea a sistemului (în cazul switchurilor).
Pentru a avea acces la un volum cât mai mare de informaţie tranzitată, snifferul trebuie
plasat într-un nod al reţelei, un switch de interconectare a sistemelor sau un router ce
facilitează accesul subrețelei la internet. Prin integrarea sa în aceste device-uri este
rezolvată şi problema aspectului fizic al acestor echipamente de monitorizare.
Aceste snifere pot fi confecţionate de către o persoană de specialitate sau pot fi
cumpărate echipamente dedicate.

Switch modificat pentru obţinera de pachete în reţea
Un astfel de echipament este dezvoltat de compania Niksun sub numele de NetVCR. Aşa
cum se poate observa în fotografia următoare, NetVCR poate fi plasat în diverse puncte
din topologia unei reţele. Suportă interfeţe diverse cum ar fi 10 GigE,10/100/1000 Mbps
(cablu de cupru, fibră optică) ,T3/E3,OC3,OC12,OC48; precum şi protocoalele
TCP/IP,UDP/IP,Ipv6,Ipv4, Ethernet MLPS, Frame Relay, PPP, CISCO HDLC, PoS
(OC3/OC12/OC48), ATM (OC3/OC12), STAC, VLAN (ISL& IEEE 802.1g), IEEE 802.3
(Ethernet), IP fragments. Echipamentul are forma unui device de reţea obişnuit, putând fi
integrat într-un rack de reţea. Spaţiul intern de stocare a informaţiilor este de ordinul
terabytilor şi poate fi completat cu dispozitive externe de stocare. Echipamentul poate fi
asociat cu altele asemănătoare produse de compania Niksun, pentru îndeplinirea unor
sarcini complexe: RADIUS, LDAP ,TACACS+ etc20
.
Cea mai importantă funcţie a acestui echipament este monitorizarea reţelei fără a
pierde pachete, chiar în condiţii extreme când fluxul de informaţie este foarte mare pȃnă
la 100 Gbps.
A doua funcţie este analizarea reţelei. Protocoalele de reţea şi aplicaţiile sunt
transformate în propriul protocol pentru a putea fi analizate amănunţit. Informaţiile pot
20
http://www.niksun.com/collateral/NIKSUNDatasheet_NetVCR_Alpine_0511.pdf

fi clasificate şi analizate după criterii definite de utilizator cu exactitatea dorită, de la
milisecunde la luni. Alertarea în timp real este o aptitudine foarte importantă pentru
administratorii de reţea, aceasta bazȃndu-se pe raporturile generate, diagnostigarea
punctuală, capacitatea de comparare şi planificare, monitorizarea serviciilor şi aplicaţiilor
(e-commerce, VoIP, e-mail s.a.) şi analiza performanţelor (pierderile de pachete, latentă,
timp de răspuns).
2.2. Prin unde
Dacă pentru comunicaţiile prin fire securitatea a fost îmbunătăţită constant, ajungându-
se la standarde ridicate, lumea comunicaţiilor prin unde este încă la început. În acest
capitol vor fi cuprinse informaţii atât despre undele radio, cât şi despre undele sonore.
Orice sistem de calcul are componente mobile, în timpul efectuării traseelor obişnuite
acestea produc unde sonore datorită interacţiunii cu alte subansamble sau frecării cu
aerul. Deşi urechea umană poate percepe unde sonore la o frecvenţă joasă de până la 16
Hz şi la o frecvenţă înaltă de 20.000 Hz, microfoanele de ultimă generaţie pot capta şi
restul undelor sonore, infrasunte (cu o frecvenţă mai joasă decât limita inferioară) şi
ultrasunete (cu o frecvență superioară limitei de 20.000 hz).
Cercetătorii de la Berkley, Universitatea California, au descoperit că o simplă înregistrare
a sunetelor produse de tastatură poate fi folosită pentru descifrarea textului scris de
utilizator, indiferent dacă este o parolă, o scrisoare de dragoste sau un secret de stat.

Experţii în computere ai renumitei instituţii academice au înregistrat timp de 10 minute
sunetele produse de o tastatură. Fişierul audio rezultat a fost introdus într-un computer
şi "decriptat" cu ajutorul unui software special. Au fost recuperate cu exactitate 96% din
caracterele scrise de utilizator. Asta înseamnă că textul a putut fi dedus fără nici o
problemă, chiar dacă mai lipsea câte o literă la câteva cuvinte.
Printr-un algoritm asemănător se poate descifra informaţia ce este imprimată cu ajutorul
unei imprimante matriciale. Sunetele redate de aceasta în timpul procesului de
imprimare sunt decriptabile în proporţie de 99%, astfel putând fi reproduse textele în
întregime.
Captura audio se poate realiza cu microfoane de mici dimensiuni ascunse în aproprierea
sistemului de calcul sau cu microfoane specializate menite să amplifice și să redea
sunetul la o distanţă de 100 de m în câmp deschis sau microfoane ce pot să recompună
sunetul prin analiza microvibrațiilor produse de undele sonore în urma impactului cu
sticla, elemente de lemn sau beton.
Microfon unidirecţional de captare a sunetelor în câmp deschis

Microfon specializat pentru redarea vibraţiilor produse de impactul undelor sonore
Noua tehnologie permite interconectarea prin unde radio, atȃt a sistemelor informatice
cȃt și a perifericelor ce sunt legate la aceste sisteme. O reţea fără fir (Wireless Local Area
Network, WLAN) este un sistem de comunicaţii implementat ca extensie sau alternativă
pentru rețeaua cablată, într-o clădire sau campus, combinând conectivitatea la viteză
mare cu mobilitatea utilizatorilor, într-o configuraţie mult simplificată.21
Echipamentele de transmisie/recepţie wireless sunt de obicei de două tipuri:
 Staţii bază (Base Stations) standard ce au acoperire de semnal pentru 30 de metri şi
360 de grade pentru interconectarea sistemelor informatice;
 Staţii client (Subscriber Units) care se pot conecta la rețea, dacă se află în aria de
acoperire a antenei.
Datele sunt transmise între staţia bază şi client prin divizarea lor în pachete de date,
acestea sunt transformate în unde radio şi călătoresc pe calea aerului de la staţia bază la
client şi la oricine altcineva aflat în arealul de răspândire a acestor unde radio. În
momentul autentificării prin parolă, informaţia este mai întâi criptată şi apoi transmisă,
urmând că receptorul să decodifice pachetele şi apoi să le afişeze. În această situaţie, un
alt client poate intra în posesia datelor numai cunoscând cheia algoritmului de criptare.
Complexitatea algoritmului de criptare creşte nivelul de securitate, dar scade viteza de
transfer a informaţiilor.
Prima tehnică de criptare a fost WEP (Wired Equivalent Privacy), numele sugerând că a
fost gândită cu scopul de a obţine o securitate a legăturii de date, echivalentul unei reţele
21
http://ro.wikipedia.org/wiki/Re%C8%9Bea_f%C4%83r%C4%83_fir

Ethernet (prin cabluri de cupru). Aceasta tehnică fost folosită din 1997 până când a fost
spartă în 2001 pentru prima dată.
Autentificarea clienţilor se face printr-un mecanism challenge: după ce un client anunţă
că doreşte să se autentifice, punctul de acces alege aleator un text clar şi îl trimite staţiei.
Staţia criptează textul primit şi îl trimite înapoi punctului de acces, care decriptează
mesajul şi îl compară cu cel trimis iniţial, permiţând sau respingând accesul în consecinţă.
După permiterea accesului, transmisia pachetelor se face criptat cu cheia reţelei22
.
Utilizatorii obişnuiţi folosesc cu precădere acest tip de criptare, astfel expunându-se la
pericole nebănuite.
În momentul în care o persoană răuvoitoare reuşeşte să se conecteze la reţea, el este
asimilat cu un utilizator normal, asigurȃndu-i-se dreptul de utilizare a echipamentelor de
reţea (ex.: Îi poate cere unei imprimante de reţea să printeze până la epuizarea cartuşului
sau a colilor). Dacă reţeaua este conectată la internet utilizatorul va fi recunoscut după
IP-ul dat respectivei reţele. În cazul producerii unor infracţiuni informatice, membrii de
drept ai reţelei vor fi incluşi în cercul de suspecţi.
Atacul asupra unei astfel de reţele poate dura de la 1 minut la 48 de ore, în funcţie de
capacităţile atacatorului, de sistemul de calcul folosit pentru decriptare şi de numărul
pachetelor interceptate.
Acest tip de atac poate fi generat după diverse sisteme de operare.
În sistemul de operare UNIX există distribuţia KALI (fostul proiect BACKTRACK), bazată pe
platforma SLAX (prezentată anterior).
Această distribuţie cuprinde un arsenal complex de instrumente pentru spargerea
parolelor wireless, a serverelor sau a aplicaţiilor web. Această suită de aplicaţii are scopul
declarat de a sensibiliza publicul asupra diverselor probleme de securitate,
autointitulându-se apărare de tip ofensiv.
Imaginea de cd furnizată gratuit de pe site-ul https://www.kali.org/downloads/ poate fi
inscripţionată pe un cd, acesta devenind bootabil, instalată pe calculator sau emulată cu
un program special pentru rulare sub platforma Windows.
Aplicaţia nu descoperă parolele de reţea cu un simplu click, dar având cunoştinţe minime
de informatică şi cu puţin ajutor din partea internetului oricine poate face acest lucru.
În fapt, o aplicaţie denumită sniffer captează 30.000 de pachete transmise între staţia
bază şi client, iar pe baza informaţiilor repetative din aceste pachete, o altă aplicaţie
extrage parola de acces.
22
http://ro.wikipedia.org/wiki/Wi-Fi#WPA_.C8.99i_WPA2

Un tutorial care explică în detaliu aceste lucruri poate fi găsit la:
http://www.youtube.com/watch?v=jETwvEDaJeQ&feature=player_embedded .
Pentru cei ce nu sunt obişnuiţi cu comenzile în terminal (panoul de comandă UNIX) au
fost implementate soluţii şi pentru sistemul de operare Windows.
Principiul de funcţionare este identic, un sniffer (ex. Commview, compatibil cu o serie
limitată de plăci de reţea) adulmecă pachetele distribuite pe un anumit canal de
conexiune, apoi acestea sunt grupate într-un singur fişier ce este procesat şi cheia este
indicată în urma decriptării. Modul de criptare 64, 128 sau 256 biţi trebuie intuit sau
aflat.
Un tutorial care explică în detaliu aceste lucruri poate fi găsit la:
http://www.youtube.com/watch?v=euEHOefRPe8&feature=fvwrel .
Ca răspuns la spargerea WEP, Wi-Fi Alliance a produs în 2003 specificaţia WPA (Wi-Fi
Protected Access). WPA și-a păstrat algoritmul de criptare simetrică RC4, dar s-a introdus
în schimb TKIP (Temporary Key Integrity Protocol), o tehnică de schimbare a cheii de
criptare pe parcursul sesiunii de lucru şi s-a înlocuit suma de control CRC-32 din WEP
cu algoritmul Michael, deoarece cu CRC recalcularea sumei de control a unui cadru
alterat nu necesită cunoaşterea cheii de criptare.
IEEE a preluat specificaţia WPA şi a elaborat în 2004 pe baza ei standardul IEEE 802.11i,
standard care stabileşte o politică de criptare cunoscută sub numele de WPA2. În WPA2,
algoritmul de criptare RC4 este înlocuit şi el cu mai puternicul algoritm AES, iar suma de
control a cadrului este calculată cu ajutorul CCMP, un cod mai sigur decât CRC şi decât
algoritmul Michael23
.
Acestea sunt până în prezent cele mai sigure metode de protecţie a transmisiunilor de
date prin unde radio. Nu sunt infailibile, însă decriptarea lor este imposibilă într-o unitate
de timp rezonabilă, având ca reper performanţele unui sistem de calcul uzual.
Cu puţin ajutor din partea administratorului de reţea imposibilul devine posibil, în
continuare vor fi prezentate 2 modalităţi aplicabile în majoritatea cazurilor:
 Exploatarea WPS „wireless protected setup” – este un standard ce ar trebui să ajute
utilizatorul în configurarea securităţii reţelei. Fiind protejat cu un simplu cod de 8 cifre
acesta poate fi spart prin forţă brută, mai ales că programul Reaver (din distribuţia Kali)
poate să deducă primele 4 caractere. Utilizând Backtrack sau Kali se deschide „terminal”
si apoi se rulează comenzile;
 airmon-ng pentru a vedea plăcile de reţea;
 airmon-ng start wlan0 sau wlan1 în funcție de placa de reţea wireless pe care doriţi să
o utilizaţi ȋn modul promiscuous - modul de monitorizare;
 wash -i mon0 pentru detectarea rețelei wireless şi copiaţi BSSID-ul reţelei wireless;
 reaver -i mon0 -b „BSSID-ul” -d 0 –vv;
23
http://ro.wikipedia.org/wiki/Wi-Fi#WPA_.C8.99i_WPA2

 Utilizând un dicţionar de cuvinte, un dicţionar serios va ocupa mai mult de 40 GB şi
distribuţia Kali sau Backtrack:
1. Se instalează Aircrack-ng
 $ sudo apt-get install build-essential libssl-dev libnl-3-dev pkg-config libnl-genl-3-dev
 $ wget http://download.aircrack-ng.org/aircrack-ng-1.2-rc1.tar.gz -O - | tar -xz
$ cd aircrack-ng-1.2-rc1
$ sudo make
$ sudo make install
2. Se porneşte interfaţa wireless în modul promiscuous
 $ sudo airmon-ng check kill
 $ sudo airmon-ng start wlan0 se va primi mesajul „monitor mode enabled on mon0”
3. Porneşte Airodump-ng pentru a colecta cheia de autentificare -Authentication
Handshake -
 $ sudo airodump-ng mon0
 wash -i mon0 - pentru detectare retele wireless şi copiaţi BSSID-ul reţelei dorite
 $ sudo airodump-ng -c 1 --bssid 00:11:22:33:44:55 -w WPAcrack mon0 --ignore-
negative-one
 Notează cheia WPA handshake ce este de forma: 00:11:22:33:44:55
4. Rulează Aircrack-ng pentru a afla cheia de autentificare WPA/WPA2-PSK, utilizând
dicţionarul de cuvinte
 $ aircrack-ng -w wordlist.dic -b 00:11:22:33:44:55 WPAcrack.cap
5. Acum procesul de decodificare ţine de performanţele sistemului dvs. de calcul, perioada
medie de aşteptare este ȋntre 24 si 48 de ore, dar puteţi avea norocul ca parola să fie
decriptată în mai puţin de 2 ore.
Frecvenţa de comunicare cea mai întâlnită fiind de 2.4 ghz. Fiind o frecvență comună, se
pot produce interferenţe, atât de la routere wireless similare (aflate în acelaşi perimetru),
cât şi de la alte echipamente ce emit unde radio. Pentru a rezolva această problemă au
fost inventate canalele de conexiune în reţelele fără fir, astfel de la canalul 1 până la
canalul 11 frecvenţa de conexiune creşte foarte puţin, dar suficient de mult încât să evite
interferenţele din mediul ambiental.
Pot exista conexiuni pe acelaşi canal ale unor reţele fără fir diferite, aflate în acelaşi
perimetru, deşi acest lucru scade viteza de transmitere a datelor. Un sniffer ce va acţiona
în modul promiscous va capta toate pachetele ce tranzitează prin acel canal.

În cazul în care în acelaşi areal sunt prezente mai multe reţele fără fir, ce utilizează canale
diferite, sunt necesare mai multe plăci de reţea fără fir pentru captarea pachetelor de
date tranzitate pe canale sau prin standarde diferite (802.11b = 11 Mbps; 802.11g=54
Mbps frecvenţa 2.4 Ghz; 802.11n=300Mbps frecvenţa 5.4 Ghz).
Echipamentele dedicate cresc posibilităţile şi acurateţea de captare a pachetelor
tranzitate în canale diferite. Posibilitatea de conectare a două antene externe pentru o
mai bună recepţionare a undelor radio, suportarea standardului 802.11n şi posibilitatea
scanării simultane a canalelor fac această placă de reţea să fie atractivă şi la preţul de 700
USD24
.
2.3. Ȋnregistrarea perifericelor
Dispozitivul ce înregistrează fiecare impuls electric generat de apăsarea unei taste se
numeşte keylogger. Dispozitivele keylogger au o memorie flash internă, separată de
memoria calculatorului. Acest tip de memorie este rezistentă la şocuri, dar are un număr
limitat de rescrieri, aproximativ 10.000 de cicluri.
Capacitatea unui astfel de dispozitiv poate varia în funcţie de chipul de memorie ales de
la 64 KB la 8 GB. Într-o memorie de doar 4 MB pot fi păstrate 2.000.000 de apăsări de
taste, adică peste 1000 de pagini text, iar în 2 GB peste 1.000.000 de pagini text,
aproximativ 2.000.000.000 de intrări de la tastatură 25
. În momentul în care nu mai există
memorie disponibilă, informaţia va fi şi suprascrisă peste primele sectoare, astfel se vor
pierde primele date inscripţionate pe chipul de memorie.
Forma unui astfel de dispozitiv este limitată de dimensiunile pieselor şi imaginaţia
creatorului. Spaţiul în care trebuie ascuns keylogger-ul poate determina folosirea
anumitor componente pentru a minimaliza dimensiunile. Acest dispozitiv poate fi într-
odus în tastatură, pe firul ce o leagă de placa de bază (se foloseşte îndeosebi pentru
laptopuri) sau poate îmbrăca forma unui convertor PS2/USB. În cazurile în care aspectul
vizual nu contează, acesta poate arăta ca un adaptor, prelungitor, PS2/PS2 sau USB/USB.
24
http://www.cacetech.com/products/airpcap.html
25
http://www.keelog.com/ps2_hardware_keylogger.html

Un dispozitiv keylogger funcţionează în două moduri distincte, înregistrare şi redare,
acestea fiind interschimbabile prin comutarea unui switch sau interogarea unui
software. În modul de înregistrare el este complet nedetectabil de sistemul de operare
sau de programele de scanare / securitate. În acest mod de funcţionare informaţia este
de cele mai multe ori criptată, iar pentru a fi inutilizabil în cazul în care ar fi descoperit, se
folosesc chei de criptare cu 128 de biţi sau mai puternice. În modul de redare, keylogger-
ul va garanta accesul la informaţiile stocate numai în prezenţa unei aplicaţii speciale sau
după introducerea unei parole. Keyloggerele destinate mufei PS2 au o rată mică de
transfer datorită acestui tip de mufă, astfel se poate folosi un adaptor PS2/USB pentru a
diminua timpul de transfer al informaţiilor.
În cel mai mic dispozitiv din poza de mai sus de numai 2.5 cm lungime poate fi integrată o
memorie de 16 gb şi o placă de reţea wireless care să se conecteze la routerul victimei şi
să trimită o raportare zilnică spre o adresă de email sau un server FTP.
Noua tehnologie permite conectarea unei tastaturi la unitatea centrală prin unde radio,
iar un keylogger extern sau încorporat în tastatură ar putea funcţiona fără probleme şi în
acest caz. Mai mult, acesta ar putea emite, într-un areal limitat de antena radio
(aproximativ 50 de metri), înregistrările făcute direct către „supraveghetor”. Practic cu
acest tip de dispozitiv se obţine o monitorizare în timp real a datelor de intrare.

Cum se poate face un kelogger hardware
Acest dispozitiv este foarte uşor de realizat pentru un om cu puţină experienţă, uneltele
folosite fiind numai un letcon şi un programator de microcontrolere.
Componentele necesare pentru acest proiect sunt: un microcontroler Atmel AT89C2051
(sau AT89C1051, AT89C4051)‚ un chip EEPROM serial AT24C512 (sau compatibil), un
cristal 12 MHz, două condensatoare de 33p, un condensator 10 uF, o rezistenţă de 10 k şi
un buton foarte mic.
Memoria microcontrolerului va fi arsă cu ajutorul programatorului, inscripţionând astfel
instrucţiunile din codul sursă ale keyloggerului, iar restul pieselor vor fi lipite conform
pozei următoare.
Monitorizarea perifericelor de ieşire
Aceste dispozitive captează la un anumit interval de timp prestabilit imaginea ce este
afişată pe monitor, fiind denumite videoghost.
Indiferent de modul de conectare a monitorului sau a proiectorului la unitatea centrală
sau la laptop, acest dispozitiv îşi va face datoria fiind adaptabil pentru orice fel de mufă
(DVI, HDMI sau VGA).
Capacitatea de stocare a fotografiilor este în funcţie de chipul de memorie folosit, de la 2
la 128 de GB, putând face capturi cu o rezoluţie maximă de 1920 x 1200 şi codate
automat într-un format ce ocupă foarte puţin spaţiu, păstrând calitatea capturilor (jpg,
jpeg).

Este complet nedetectabil de software şi pentru a nu atrage atenţia asupra sa,
alimentarea acestui dispozitiv se face cu o baterie de mici dimensiuni, evitȃnd-se astfel
alimentarea de la o mufă USB.
Vizualizarea capturilor se face prin conectarea interfeţei USB la orice sistem de calcul ce
are instalată aplicaţia de sincronizare a dispozitivului cu calculatorul. 26
3.INFRACŢIUNI DE FRAUDĂ INFORMATICĂ PE INTERNET
3.1. Phishing
Este tehnica de colectare a datelor personale prin inducerea în eroare a unui utilizator
insuficient de vigilent. Aşa cum se poate deduce din numele acestui atac (provenit din
limba engleză „pescuit”) cel ce îl iniţiază aruncă momeala şi ţine de alegerea fiecărei
potenţiale victime dacă se lasă indusă în eroare.
Phishing-ul are la bază două componente definitorii : site-ul scam şi modul de captare a
încrederii utilizatorului în acest site.
Site-ul scam nu este doar o replică a site-ului original, este în primul rând o interfaţă între
atacator şi victimă, informaţiile introduse de victimă fiind deturnate şi lăsate la liberul
acces al atacatorului. Imitarea unui site este o muncă migăloasă şi necesită o atenţie
sporită. Orice detaliu ce nu este identic cu originalul îi poate sugera unei potenţiale
victime că este vorba de o înşelăciune. Acest lucru nu reprezintă însă un impediment,
site-urile neavând în general elemente de securitate la nivel vizual.
26
http://www.keelog.com/hardware_video_logger.html

Scam site phishing
Locul de unde este accesat site-ul este foarte important, deoarece autorităţile pot afla
imediat datele de identificare şi locaţia respectivă. Pentru a acoperi acest neajuns site-ul
este hostat pe servere externe, închiriate de diverse persoane cu sau fără acordul
acestora (în urma cunoaşterii parolei sau exploatării unei breşe de securitate). De aceea
este foarte importantă securitatea siteului dvs., lasând dezvoltarea proiectului pe mâna
unui necunoscut creşteţi şansele de a fi anchetat în cadrul unei infracţiuni informatice.
Modul de captare a atenţiei utilizatorului ţine în primul rând de psihologie, pentru că în
informatică orice idee poate fi pusă în practică. Relaţionarea prin căsuţa de e-mail
garantează o rată de succes mai mare decât relaţionarea prin chat sau IRC. Un mesaj în
căsuţa de mail primit de la un prieten sau de la o presupusă persoană importantă din
cadrul organigramei unei instituţii bancare, răspunde normelor minimale de încredere.
Subiectul mailului trebuie să rezolve latura atractivă a acestuia, un presupus câştig, o
eventuală eroare din care victima ar putea avea de suferit sau o ştire de ultim moment.
Conţinutul este extrem de important pentru realizarea scopului, modul de exprimare,
ortografia corectă, mesajul transmis, sublinierea unor elemente menite să mărească
încrederea în respectivul mesaj (numele întreg al presupusului trimiţător, numele exact al
serviciului din cadrul instituţiei s.a.) şi nu în ultimul rând pentru aspectul vizual al linkului
ce trebuie urmat. Abordarea unui subiect credibil şi de actualitate este încă o notă
importantă. Dacă aceeaşi persoană va primi de la zeci de prieteni acelaşi mesaj va
observa imediat lipsa de autenticitate.
Modalitatea de distribuire a mesajelor de tip phishing este împărţită în două ramuri,
trimiterea automată către adresele găsite într-un calculator infectat cu un malware
specific sau folosirea unor vulnerabilităţi specifice protocolului SMTP. Acest Simple Mail
Transfer Protocol datează de la începutul anilor ’80 şi este responsabil cu transferul
mesajelor în formă electronică între un client şi un server SMTP, folosind portul 25 TCP şi
într-un mod cât mai simplu (bazat pe interogări repetate)27
.
Tehnici folosite de e-mailuri phishing:
o
înlocuirea adresei expeditorului cu cea a unei organizaţii oﬁciale;
o
copierea adreselor unor organizaţii cu modiﬁcări minore ale URL-ului;
o
e-mail în format HTML pentru a ascunde informaţiile URL-urilor ţintă;
o
viruşi sau viermi ataşaţi la e-mailuri;
o
tehnica mesajelor personalizate sau unice.28
27
http://en.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol
28
http://www.scribd.com/doc/51018542/18/Atacul-Man-in-the-middle

Pentru ca atacul de tip phishing să aibă succes, trebuie să se folosească diverse metode
pentru a păcăli clientul să facă ceva cu serverul sau cu pagina furnizată. Numărul acestor
metode este în continuă creştere.
Cele mai comune metode sunt:
o atacul "man-in-the-middle";
o atacul "otrăvirea URL-ului";
o atacul "scripturi între site-uri";
o atacul "sesiune presetată";
o observarea datelor clientului;
o exploatarea vulnerabilităţii din partea clientului.
Din păcate, pentru conturile românilor, harta întocmită de anti-phishing.org nu arată
tocmai îmbucurător, situându-ne într-o zonă roşie cu cel mai înalt risc de phishing
(17.72% din totalul atacurilor de tip phishing).

3.2. E-commerce
Conform Departamentului de Justiţie al Statelor Unite ale Americii, termenul de fraudă
prin Internet se referă în general la orice modalitate de fraudă care utilizează una sau
mai multe componente ale Internet-ului - ca de exemplu e-mail, forumuri de discuţii,
canale de chat sau site-uri Web - pentru a racola potenţiale victime, pentru finalizarea
tranzacţiilor frauduloase sau pentru a transmite profiturile obţinute prin fraudă către
instituţii financiare sau altor persoane implicate în modalitatea de fraudă.
Dar aceste cuvinte nu sunt suficiente pentru a descrie realitatea. Frauda prin Internet a
devenit în ultimii ani terenul de acţiune al crimei organizate şi modelul „romantic" al
hacker-ului care acţionează singur nu mai este deja viabil.
o Modalităţi de fraudă prin solicitarea de taxe
În această schemă de fraudă, persoanei vizate i se solicită să plătească în avans o serie de
taxe, urmând să primească în schimb, o sumă importantă de bani sau anumite premii în
obiecte. Aceste taxe sunt prezentate, de obicei, ca taxe de procesare, taxe poştale sau
onorarii pentru realizarea unor acte notariale. Victima plăteşte aceste taxe şi nu primeşte
nimic. Cel mai bun exemplu pentru acest tip de fraudă sunt „scrisorile nigeriene", prin
care victimei i se promiteau procente importante, în schimbul ajutorului dat pentru a
transfera sume foarte mari de bani dintr-o ţară străină. Într-o altă schemă de fraudă,
victima este convinsă că a câştigat un premiu important la loterie.
o Fraude de tip Business/Employment
Acestea implică de regulă un furt de identitate, o schemă de retrimitere a mărfii şi cecuri
false.
Cel care iniţiază frauda plasează un anunţ de angajare pe unul din site-urile cu oferte de
lucru de pe Internet. Celor care răspund le sunt solicitate informaţii personale
confidenţiale. Ulterior, acestea vor fi utilizate de către iniţiatorul fraudei pentru a
cumpăra produse pe credit. Aceste produse sunt trimise unei alte persoane care a
răspuns la anunţ şi care a fost angajată de către infractor pentru a recepţiona marfa.
Acesta va trimite ulterior, prin servicii de freight forwarding, produsele către ţara de
origine a iniţiatorului fraudei. Infractorul, care de obicei se prezintă ca o companie
străină, plăteşte persoana care a retrimis produsele cu un cec fals ce conţine de obicei o
sumă mai mare decât cea necesară pentru taxele de transport. Diferenţa de bani este
transferată de persoana care a făcut livrarea înapoi către infractor, înainte că frauda să
fie descoperită.
o Scheme ce implică cecuri false
o Frauda prin carduri de debit/credit

o Scheme ce implică retrimiterea de produse
o Furtul de identitate
Furtul de identitate survine atunci când infractorul obţine în mod fraudulos informaţii
confidenţiale despre o anumită persoană, fără ştirea acesteia, pentru a le utiliza în
comiterea de fraude. Această metodă stă la baza dezvoltării altor scheme de fraudă.
În general, victima este determinată să creadă că divulgă informaţiile personale
confidenţiale unei companii sau unei persoane autorizate, de obicei ca răspuns la un e-
mail prin care se solicită date pentru finalizarea unei tranzacţii sau actualizarea unui cont
de membru al anumitor site-uri. Uneori aceste date sunt trimise deoarece victima
consideră că aplică la o ofertă de serviciu.
o Scheme de fraudă ce implică investiţii
o Fraude ce implică licitaţii online
Aceste fraude sunt realizate fie prin prezentarea pe site-urile de licitaţii a unui obiect fals
(care nu aparţine infractorului sau nu întruneşte condiţiile prezentate în anunţ), fie prin
faptul că, după încasarea banilor, infractorul nu va trimite produsul care a făcut obiectul
tranzacţiei.
o Falsificarea serviciilor de tip escrow
Pentru a convinge un participant la licitaţiile prin Internet de faptul că este o persoană
corectă, infractorul propune utilizarea unui site ce oferă servicii de tip escrow. Acestea
sunt terţe părţi care recepţionează, depozitează şi ulterior livrează fonduri sau
documente atunci când se constată îndeplinirea anumitor condiţii. De exemplu, înainte
de încheierea licitaţiei, se depune un depozit de bani la serviciul de escrow. Vânzătorul va
primi banii numai după ce tranzacţia s-a realizat.
În fraude infractorul sugerează utilizarea unui astfel de serviciu, dar victima nu ştie că
acesta a fost în prealabil falsificat. Victima trimite banii sau produsul către serviciul fals de
escrow şi nu primeşte nimic în schimb.
o Fraude prin scheme piramidale
Victimele sunt invitate de către firme specializate să investească în diverse scheme
piramidale, urmând să primească profituri imense.
De fapt, nici un fel de investiţii nu sunt realizate de aşa-numita „firmă de investiţii". Cei
care intră primii în schemă primesc anumite dividende pentru suma investită iniţial, dar
care se bazează pe fondurile provenite de la cei care aderă ulterior. Sistemul ajunge rapid
în colaps şi investitorii nu primesc dividendele promise şi pierd investiţia iniţială29
.
29
http://news.softpedia.com/news/Fraudele-pe-Internet-ro-385.shtml

CAPITOLUL III
URMĂRIREA PENALĂ A INFRACTORILOR INFORMATICI
1. PROBE DIGITALE
În materie penală, noţiunea de probă este definită prin art. 97 din Codul de procedură
penală, potrivit căruia “Constituie probă orice element de fapt care serveşte la
constatarea existenţei sau inexistenţei unei infracţiuni, la identificarea persoanei care a
săvârşit-o şi la cunoaşterea împrejurărilor necesare pentru justa soluţionare a cauzei şi
care contribuie la aflarea adevărului în procesul penal”. Mijloacele de probă reprezintă
procedeele legale prin care sunt administrate probele.
Legea penală prevede anumite condiţii procedurale imperative în admisibilitatea
probelor30
:
o Proba să nu fie interzisă de lege
o Proba să fie pertinentă
o Proba să fie concludentă şi relevantă
o Proba să fie utilă (necesară)
o Proba să fie verosimilă
Probele digitale au accepţiuni diferite, astfel în opinia Grupului de lucru S.W.G.D.E.
acestea reprezintă “informaţia cu valoare probatorie stocată sau transmisă într-un
format digital”, în opinia Departamentului de Justiţie al Statelor Unite ale Americii
acestea sunt “informaţiile şi datele cu valoare de investigare care sunt stocate sau
transmise prin intermediul unui dispozitiv electronic”31
.
Probele digitale nu sunt obiecte tangibile, ele sunt reprezentate de o valoare
materializată prin semnalele electromagnetice, unde radio sau fascicule de lumină,
tranzitate prin fire ori pe calea aerului sau stocate în dispozitive speciale.
Probele digitale cuprind probele informatice, probele audio digitale, video digitale, cele
produse sau transmise prin telefoane mobile, e-mail-uri, etc..
Un aspect important este legat de faptul că astfel de probe sunt foarte „fragile”, în sensul
că pot fi modificate sau pot dispărea foarte uşor, prin metode care de multe ori sunt la
30
Radu Constantin, Pompil Draghici, Mircea Ioniţă, „Expertizele mijloc de probă in procesul penal” p.12
31
http://nij.ncjrs.gov

îndemâna făptuitorilor. Din această cauză, investigatorii trebuie să ia măsuri speciale de
protecţie pentru a strânge, păstra şi examina aceste probe. Păstrarea acestor tipuri de
probe a devenit o preocupare crescândă a investigatorilor din întreaga lume.
Din acest motiv International Organization on Computer Evidence a elaborat o serie de
principii, referitoare la probele digitale:32
o În procesul de obţinere a probelor digitale, acţiunile întreprinse nu trebuie să modifice
probele;
o Atunci când este necesar ca o persoană să aibă acces la probele digitale originale,
această persoană trebuie să fie competentă din punct de vedere criminalistic;
o Toate activităţile în legătură cu investigaţia, depozitarea, examinarea sau transferul
probelor digitale trebuie să fie în întregime înregistrate în scris, păstrate şi să fie
disponibile pentru evaluare;
o O persoană este responsabilă pentru toate activităţile în legătură cu probele digitale
atâta timp cât această se află în posesia acesteia;
o Orice organizaţie, responsabilă cu investigarea, accesarea, depozitarea sau
transferarea probelor digitale este responsabilă de respectarea acestor principii.
Organizaţia International Association of Computer Investigative Specialists a prevăzut o
serie de recomandări ce trebuie avute în vedere la expertiza criminalistică a probelor
digitale:
o Proba originală ar trebui conservată într-o stare cât de apropiată posibil de cea în care
a fost găsită;
o Trebuie făcută o copie exactă cu originalul care să fie folosită la examinare;
o Copiile pentru examinare trebuie făcute pe suporturi de date, care nu au alte date
memorate pe ele şi sunt verificate contra programelor maliţioase şi defecţiunilor fizice
o Toate probele trebuie să fie marcate, etichetate şi înregistrate, păstrându-se un lanţ al
custodiei în rândul organelor de anchetă.
Un alt aspect important alături de fragilitatea probelor digitale este alterarea acestora,
din acest motiv este importantă menţinerea probelor în starea iniţială (acestea pot avea
instrucţiuni de autoştergere introduse de infractori). Integrarea unei bombe logice, care
să declanşeze ştergerea unor date în cazul îndeplinirii unei condiţii logice (de ex., rularea
unui program specific expertizei criminalistice) sau ȋndeplinirea unei condiţii de timp, este
o practică uzuală pentru un utilizator pregătit în domeniul informatic.
Din punct de vedere al persistenţei datelor informatice, probele digitale se pot clasifica
în: volatile sau permanente.
Datele ce sunt stocate în memoria cu acces aleatoriu RAM, memoria componentelor
periferice (de ex. memoria imprimantei) sau memoria cache sunt considerate probe
32
Ghid introductiv pentru aplicare dispoziţiilor legale referitoare la criminalitate informatică, Anexa VI

digitale volatile. Acestea neputând fi recuperate în urma decuplării sistemului informatic
de la sursa de energie electrică.
Datele ce nu se pierd când sistemul informatic este decuplat de la tensiunea de
alimentare sunt considerate nevolatile (permanente), acestea sunt stocate pe hard-disk,
stick-uri de memorie sau card-uri de memorie.
Probele digitale fiind în format binar au nevoie de un grad de interpretare înainte de a
deveni inteligibile pentru investigator.
Potenţiale probe digitale în sistemele informatice:
o Fişiere create de utilizator: e-mail, agende, documente, imagini, fişiere audio-video,
etc.;
o Fişiere create de computer: salvări backup, cookies, log-uri, history, swap, temporare,
regiştri, fişierele sistemului de operare;
o Fişiere considerate şterse: pot fi oricare din cele enumerate anterior.
Anchetatorii trebuie să aibă în vedere posibilitatea pistelor false, folosite de infractori
pentru ascunderea urmelor sau a făptuitorilor. În principiu, toate datele din mediul
informatic pot fi modificate sau înlăturate dacă utilizatorul are cunoştinţele necesare.
Adresa IP poate fi schimbată cu ajutorul unui simplu utilitar (de ex., Hide IP Platinum
http://www.platinumhideip.com/ ), adresa MAC a plăcii de reţea poate fi modificată
chiar din setările acesteia (folosind Windows - în setările de configurare ale plăcii de reţea
găsim fereastra – advance, apoi mergem la –network adress – bifam - value – şi
introducem noul MAC), iar datele de modificare şi creare a fişierelor sunt accesibile cu
ajutorul unei mici aplicaţii FileDate Changer
(http://www.nirsoft.net/utils/filedatech.html).
Fişierele, indiferent de natura acestora, pot fi ascunse prin funcţiile de protecţie ale
sistemului de operare, pot fi stocate pe o partiţie ascunsă sau inaccesibilă sistemului de
operare (ex. formatul „.ext” pentru sistemul de operare Windows), pot fi arhivate
(dezarhivarea fiind condiţionată de introducerea unei parole), criptate sau ascunse în alte
fişiere prin tehnica steganografiei.
2. ACTIVITĂŢILE DE URMĂRIRE PENALĂ CARE SE ȊNTREPRIND PENTRU
ADUNAREA PROBATORIULUI
2.1 Constatarea infracţiunii flagrante
După cum se cunoaşte, potrivit art. 293 alin. 1 Cod procedură penală, este flagrantă
infracţiunea descoperită în momentul săvârşirii sau imediat după săvârşire. Reprezentând

o procedură specială, constatarea infracţiunii flagrante capătă caracter procesual penal,
iar procesul-verbal în care se consemnează aceasta devine mijloc de probă, la fel ca orice
înscris ce are legătură cu fapta33
.
Infracţiunea flagrantă reprezintă şi în cazul delictelor informatice o a doua excepţie de la
efectuarea percheziţiei cu autorizarea magistratului.
2.2 Cercetarea la faţa locului
Odată ajunşi la locul în care se află sistemele informatice ce fac obiectul percheziţiei,
investigatorii se vor asigura de accesul la acestea. Recomandarea Consiliului Europei (95)
13 menţionează ca necesară includerea în legislaţiile naţionale penale a obligaţiei de a
permite accesul la sistemele informatice, atât din partea celor care răspund de
cercetarea penală, cât şi a oricăror persoane ce au cunoştinţă de modul de funcţionare a
acestora. Pe lângă accesul fizic, aceste persoane au datoria de a furniza şi informaţii
referitoare la securitatea sistemului, informaţii care să permită investigatorilor accesul la
datele stocate în sistemele informatice respective.
Înainte de a trece la examinarea sistemelor informatice, nu trebuie neglijate procedurile
criminalistice tradiţionale de analiză a spaţiului percheziţionat, cum ar fi prelevarea
probelor fizice (amprente, alte urme materiale). De asemenea, poate avea relevanţă
imaginea aflată pe ecranul monitorului în momentul pătrunderii organelor de cercetare
penală. Aceasta poate fi păstrată prin fotografiere, filmare etc.
Cercetarea la faţa locului se deosebeşte de percheziţie prin sfera de acţiune şi scopul
urmărit, deşi ambele procedee probatorii prezintă o serie de aspecte comune în ceea ce
priveşte metodele de cercetare ori unele din obiectivele urmărite. Astfel, limitele locului
săvârşirii faptei sunt date de extinderea suprafeţei deţinătoare de urme ale infracţiunii,
pe când urmele locului percheziţionat sunt determinate de folosirea exclusivă a anumitor
persoane 34
.
Conform art. 41 alin. 2 din Codul de procedură penală „prin locul săvârşirii infracţiunii se
înţelege locul unde s-a desfăşurat activitatea infracţională, în totul sau în parte, ori locul
unde s-a produs urmarea acesteia”.
Cercetarea la faţa locului în cazul infracţiunilor informatice se efectuează numai în strictă
conformitate cu regelementările referitoare la acest procedeu probator. Aceasta
presupune mai întâi ca organul de urmărire penală să fie sesizat despre săvârşirea unei
fapte penale într-unul din modurile prevăzute de art. 288 alin. 1 din Codul de procedură
penală, respectiv plângere, denunţ, prin actele încheiate de alte organe de constatare
prevăzute de lege sau sesizare din oficiu.
33
Emilian Stancu, Suport de curs, p. 216
34
Constantin Drăghici, Cristian Eduard Stefan,”Tactica efectuării percheziţiei si a ridicării de obiecte şi înscrisuri”, Editura
Sitech, 2006, p. 16

La primirea sesizării, organul de urmărire penală îşi verifică competenţa, anunţă, dacă
este cazul, organul de urmărire penală competent să efectueze cercetarea la faţa locului
şi are datoria să întreprindă următoarele activităţi:
o Identificarea persoanei ce a făcut plângerea sau denunţul;
o Verificarea sesizării mai ales dacă s-a făcut de către persoane necunoscute prin
mijloacele tehnice de comunicare la distanţă (telefon, e-mail etc.);
o Determinarea locului, naturii, gravităţii şi a oricărui alt element care să servească la
formarea primei imagini despre faptă;
o Dispunerea măsurilor urgente, strict necesare premergătoare cercetării la faţa locului.
Cercetarea la faţa locului se poate dispune de către organele de urmărire penală sau de
instanţă, existând şi unele aspecte diferenţiale. Prezenţa procurorului ȋn cercetarea la
faţa locului este condiţionată de obligativitatea prezenţei sale în cadrul procesului penal,
organele de urmărire penală ȋnștiințȃnd părţile, în vreme ce instanţa le citează.
Cercetarea la faţa locului are ca scop inspectarea sistemului de calcul, al perifericelor şi
mediilor de stocare externă, dar şi a agendelor sau jurnalelor fizice ce cuprind date
referitoare la infracţiune.
Cercetarea la faţa locului în cazul infracţiunilor informatice cuprinde o cercetare în faza
statică şi o cercetare în faza dinamică:
o Faza statică - are în vedere constatarea stării de fapt, neintervenindu-se sub nicio
formă asupra aparaturii. Sistemele de calcul şi perifericele sunt fixate prin fotografiere sau
înregistrări video. În cazul în care o persoană foloseşte sistemul de calcul aceasta trebuie
îndepărtată.
o Faza dinamică – cuprinde etapele de colectare, examinare şi analizare a probelor de
către un specialist pregătit în combaterea criminalităţii informatice.
O primă decizie ce trebuie luată priveşte analiza sistemului informatic la faţa locului sau
ridicarea acestuia şi analizarea în laborator.
În luarea acestei decizii, trebuie avute în vedere următoarele aspecte:
o calitatea superioară a analizei efectuate în condiţii de laborator;
o măsura în care ridicarea sistemului informatic afectează activitatea suspectului.
Cercetarea la faţa locului se consemnează într-un proces verbal care reprezintă mijlocul
procedural principal de fixare a rezultatelor acestui procedeu probator. Procesului verbal
i se pot anexa fotografii, schiţe, desene sau alte asemenea lucrări, având o importanţă
deosebită pentru soluţionarea cauzei penale.

2.3. Dispoziţii legale privind actele de procedură
2.3.1. Conservarea datelor informatice
Conservarea datelor informatice presupune păstrarea datelor deja existente, care au fost
obţinute dintr-un sistem informatic şi care sunt înregistrare pe un anumit suport, în
scopul evitării alterării, degradării sau ştergerii acestora.
Această instituţie procedurală nouă, proprie mediului infracţiunilor informatice, se
dispune numai în cazul datelor informatice care există deja şi care au fost colectate şi
stocate într-un sistem informatic.
Măsura conservării datelor informatice se dispune de procuror în cursul urmăririi penale,
prin ordonanţă motivată, la cererea organului de cercetare penală sau din oficiu, iar în
cursul judecăţii de către instanţă, aceasta se face prin încheiere.
Chiar dacă legea nu prevede neapărat, s-a apreciat în literatura de specialitate că această
măsură se poate dispune de procuror şi în faza premergătoare începerii urmăririi penale
în cazul în care există o suspiciune rezonabilă cu privire la pregătirea sau săvârşirea unei
infracţiuni prin intermediul sistemelor informatice35
. Această măsură procesuală se
dispune pe o perioadă ce nu poate depăşi 60 de zile şi poate fi prelungită o singură dată,
cu o perioadă ce nu poate depăşi 30 de zile.
Ordonanţa procurorului sau încheierea instanţei se transmit de îndată oricărui furnizor de
servicii sau oricărei persoane în posesia căreia se afla datele informatice ori datele
referitoare la traficul informaţional, aceasta fiind obligată să le conserve imediat şi să
păstreze confidenţialitatea luării măsurii. Până la terminarea urmăririi penale, procurorul
este obligat să încunoştinţeze în scris persoanele faţă de care se efectuează urmărirea
penală şi ale căror date au fost conservate36
.
Sediul materiei, în legislaţia română, este regăsit în Legea 255 de aplicare a noului Cod de
Procedura Penală din 2013:
Art. 154 Conservarea datelor informatice
(1) Dacă există o suspiciune rezonabilă cu privire la pregătirea sau săvârşirea unei
infracţiuni, în scopul strângerii de probe ori identificării făptuitorului, suspectului sau a
inculpatului, procurorul care supraveghează sau efectuează urmărirea penală poate
dispune conservarea imediată a anumitor date informatice, inclusiv a datelor referitoare
la traficul informaţional, care au fost stocate prin intermediul unui sistem informatic şi
care se află în posesia sau sub controlul unui furnizor de reţele publice de comunicaţii
35
Mihail Udroiu, „Tehnici speciale de investigare in justiţia penală”, p.156
36
Maxim Dobrinoiu, ”Infracţiuni în domeniul informatic”, Editura C.H. Beck, p.280

electronice ori unui furnizor de servicii de comunicaţii electronice destinate publicului, în
cazul în care există pericolul pierderii sau modificării acestora.
(2) Conservarea se dispune de procuror, din oficiu sau la cererea organului de cercetare
penală, pe o durată de maximum 60 de zile, prin ordonanţă care trebuie să cuprindă, în
afara menţiunilor prevăzute la art. 286 alin. (2): furnizorii de reţele publice de comunicaţii
electronice ori furnizorii de servicii de comunicaţii electronice destinate publicului în
posesia cărora se află datele informatice ori care le au sub control, numele făptuitorului,
suspectului sau inculpatului, dacă este cunoscut, descrierea datelor ce trebuie conservate,
motivarea îndeplinirii condiţiilor prevăzute la alin. (1), durata pentru care a fost emisă,
menţionarea obligaţiei persoanei sau furnizorilor de reţele publice de comunicaţii
electronice ori furnizorilor de servicii de comunicaţii electronice destinate publicului de a
conserva imediat datele informatice indicate şi de a le menţine integritatea, în condiţii de
confidenţialitate.
(3) Măsura conservării poate fi prelungită, pentru motive temeinic justificate, de procuror,
o singură dată, pe o durată de maximum 30 de zile.
(4) Ordonanţa procurorului se transmite, de îndată, oricărui furnizor de reţele publice de
comunicaţii electronice ori furnizor de servicii de comunicaţii electronice destinate
publicului în posesia căruia se află datele prevăzute la alin. (1) ori care le are sub control,
acesta fiind obligat să le conserve imediat, în condiţii de confidenţialitate.
(5) În cazul în care datele referitoare la traficul informaţional se află în posesia mai multor
furnizori de reţele publice de comunicaţii electronice ori furnizori de servicii de comunicaţii
electronice destinate publicului, furnizorul în posesia sau sub controlul căruia se află
datele informatice are obligaţia de a pune, de îndată, la dispoziţia organului de urmărire
penală informaţiile necesare identificării celorlalţi furnizori, în vederea cunoaşterii tuturor
elementelor din lanţul de comunicare folosit.
(7) Judecătorul de drepturi şi libertăţi se pronunţă în termen de 48 de ore cu privire la
solicitarea organelor de urmărire penală de transmitere a datelor, prin încheiere
motivată, în camera de consiliu.
(8) Până la terminarea urmăririi penale, procurorul este obligat să încunoştinţeze, în scris,
persoanele faţă de care se efectuează urmărirea penală şi ale căror date au fost
conservate.
O excepţie de la art. 154 alin. (2), care prevede conservarea datelor de către procurorul
care supraveghează sau efectuează urmărirea penală, este cea prevazută în art. 60 Cod
Penal unde legiuitorul a decis obligativitatea procurorului necompetent să dispună
asupra actelor de urmărire penală ce nu pot suferi o amânare (ţinând seama de
volatilitatea probelor informatice – conservarea acestora într-o stare nealterată nu poate
suferi amânare), aceste probe urmând a fi transmise procurorului competent, cu
celeritate.
LEGEA 161/2003 nu a fost abrogată expres prin intrarea în vigoare a Noului Cod Penal,
astfel definiţiile ce nu au fost abrogate tacit rămân în vigoare. Spre exemplu, definiţiile

336776138 criminalitate-informatica-sanctiuni-si-protectie

336776138 criminalitate-informatica-sanctiuni-si-protectie

Recommended

Recommended

More Related Content

What's hot

What's hot (17)

Similar to 336776138 criminalitate-informatica-sanctiuni-si-protectie

Similar to 336776138 criminalitate-informatica-sanctiuni-si-protectie (20)

336776138 criminalitate-informatica-sanctiuni-si-protectie